استفاده از واژه‌پرداز Hangul و زبان برنامه‌نویسی پست‌اسکریپت برای توزیع بدافزار

کمیته رکن چهارم – کارشناسان در ترندمیکرو حملات بدافزاری گزارش کردند که برای هدف قرار دادن کاربران از برنامه‌ی واژه‌پرداز Hangul استفاده می‌کنند. مهاجمان دوباره برنامه واژه‌پرداز HWP را برای هدف قرار دادن کاربران در کره‌ی جنوبی استفاده کردند. این برنامه در کره جنوبی بسیار محبوب است و در چندین عملیات نفوذ علیه اشخاص کشور مورد بهره‌برداری قرار گرفته است. در حملات اخیر، نفوذگران از واژه‌پرداز Hangul همراه با زبان برنامه‌نویسی پست‌اسکریپت استفاده می‌کنند. مهاجمان از رایانامه‌هایی که پیوست‌های مخرب دارند برای ارائه این بدافزار استفاده می‌کنند.

ترندمیکرو در بیانیه‌ای اعلام کرد: «یک نسخه در پست‌اسکریپت که پست‎‌اسکریپت بسته‌بندی‌شده نامیده می‌شود، وجود دارد که محدودیت‌هایی را به کدی که ممکن است درحال اجرا باشد، اضافه می‌کند. قرار است باز کردن اسناد امن‌تر شود، اما متاسفانه نسخه‌های قدیمی‌تر HWP این محدودیت‌ها را به طور نامناسبی پیاده‌سازی کرده‌اند. ما بررسی پیوست‌‌هایی که شامل پست‌اسکریپت مخربی که برای نصب کلید‌های میانبر یا پرونده‌های مخرب حقیقی در سامانه مورد نفوذ، استفاده می‌شوند، را شروع کرده‌ایم.» اگرچه پست‌اسکریپت بسته‌بندی‌شده، زمان باز کردن یک سند، محدودیت‌هایی را به امن کردن سامانه اضافه می‌کند، نسخه‌های قدیمی‌تر HWP این محدودیت را به طور نامناسبی پیاده‌سازی کرده‌اند. مهاجمان به استفاده از پیوست‌های حاوی پست‌اسکریپت مخرب، برای قرار دادن کلید‌های میانبر یا پرونده‌‌های مخرب بر روی سامانه تحت نفوذ، روی آورده‌اند.

کارشناسان این نکته را یادآور شدند که بعضی از این خط‌های عنوان و نام‌های ‌اسناد که توسط مهاجمان مورد استفاده قرار گرفته بودند شامل «بیت‌کوین» و «استانداردسازی امنیت مالی» بودند. محققان تأکید کردند که مهاجمان از یک بهره‌برداری واقعی استفاده نمی‌کنند، اما از یک ویژگی پست‌اسکریپت برای دستکاری پرونده‌ها سوءاستفاده می‌کنند. پست‌اسکریپت قادر به اجرای دستورات شل نیست، اما مهاجمان با قرار دادن پرونده‌هایی در پوشه‌های راه‌اندازی مختلف، رفتار مشابهی را فراهم می‌کنند، سپس زمانی‌که کاربر ماشین را دوباره راه‌اندازی می‌کند، این پروند‌ه‌ها اجرا می‌شوند. در این تحلیل آمده است که چند مورد از راه‌هایی که در بررسی‌ها مشاهده شده، به شرح زیر است:

۱)یک کلید میانبر در پوشه راه‌اندازی قرار می‌دهند که MSHTA.exe را اجرا می‌کند تا یک پرونده جاوااسکریپت را اجرا کند.

۲)یک کلید میانبر در پوشه راه‌اندازی و یک پرونده‌ی DLL در مسیر ٪ Temp٪ قرار می‌دهند. این کلید میانبر، rundll۳۲.exe را برای اجرای پرونده DLL ذکر شده، فراخوانی می‌کند.

۳)یک پرونده قابل اجرا در پوشه راه‌اندازی قرار می‌دهند.

یکی از حملات مشاهده شده توسط محققان در ترندمیکرو، پرونده gswin۳۲c.exe را بازنویسی می‌کند، که در آن مفسر پست‌اسکریپت توسط برنامه‌ی واژه‌پرداز Hangul استفاده می‌شود. این پرونده با یک نسخه قانونی Calc.exe جایگزین شده است، به این ترتیب مهاجمان از اجرای دیگر محتوای پست‌اسکریپت جاسازی‌شده جلوگیری می‌کنند. نسخه‌های جدیدتر واژه‌پرداز Hangul، راه‌کار EPS را به درستی پیاده‌سازی کرده‌اند، به همین دلیل کاربران برای این‌که ایمن بمانند باید این برنامه را ارتقاء دهند.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.